Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

компьютер сам выключается

Максим Павельев

Автор Максим Павельев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Удалите Zaxar, Pbot через установку программ в панели управления


HiJackThis (из каталога автологгера) профиксить

O4 - HKCU\..\Run: [PBot] "C:\Users\MainUser\AppData\Roaming\PBot\python\pythonw.exe" "C:\Users\MainUser\AppData\Roaming\PBot\launchall.py"
O4 - HKCU\..\Run: [Zaxar] "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
O4 - HKCU\..\Run: [ccamyuyxhq] explorer "http://imatiro.ru/?utm_source=uoua03&utm_content=2ab9a970874b6c3a100ddbe365669ec3&utm_term=36BEC3B5CD46CA95743BB5A67CD401B6&utm_d=20160417"
O4-32 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O22 - ScheduledTask: (Ready) A7D005AF7-7E19-4ED7-A237-8D30C34C4E20 - \Microsoft\Windows - "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe" --getupdate-ppapi-plugin
O22 - ScheduledTask: (Ready) InternetBF - {root} - "C:\Users\MainUser\AppData\Local\Amigo\Application\amigo.exe" http://journalslives.ru/peoplesm (file missing)
O22 - ScheduledTask: (Ready) InternetSF - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://thisgo.su/cgosm (file missing)
O22 - ScheduledTask: (Ready) KRBLNKRUN - \Microsoft\KRBUUS - "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" (file missing)
O22 - ScheduledTask: (Ready) Soft installer - {root} - "C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe" subid=792;src=installcube;scheduler=1

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 TerminateProcessByName('C:\Users\MainUser\AppData\Roaming\svchost.exe');
 QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','');
 QuarantineFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\PPAPI\644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Local\Hostinstaller\3738792118_installcube.exe','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser.lnk','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\PBot\launchall.py','32');
 DeleteFile('C:\Users\MainUser\AppData\Roaming\svchost.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetBF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetSF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A7D005AF7-7E19-4ED7-A237-8D30C34C4E20" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true, ' ');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteFileMask('C:\Program Files (x86)\Kinoroom Browser', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Kinoroom Browser');
 DeleteFileMask('C:\Users\MainUser\AppData\Local\Hostinstaller', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Local\Hostinstaller');
 DeleteFileMask('C:\Users\MainUser\AppData\Roaming\PBot', '*', true, ' ');
 DeleteDirectory('C:\Users\MainUser\AppData\Roaming\PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ccamyuyxhq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на комментарий
Поделиться на другие сайты
Максим Павельев

Максим Павельев

Опубликовано
  • Автор
Опубликовано

KLAN-5672677429

Thank you for sending a file for analysis to the Anti-Virus Lab.

Kaspersky Anti-Virus has scanned files.

Riskware application which may harm your computer was detected in files:
644647A5-68AF-48C2-B7F0-92A4A6B0CC12.exe - not-a-virus:Downloader.NSIS.Agent.afp
3738792118_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

No malware detected in files:
launchall.py

We will thoroughly analyze files. If the result of the analysis is different from this scan result, you will be notified via email within 5 days.

This is an automatically generated message. Please, do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

AdwCleaner_S0.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Виталий__-
      Писки и трещания в компьютере, которые передаются в наушники.
      Автор Виталий__-
      Ребят, что делать в данной ситуации? Из-за проблем с перегревом, я решил поменять башню и корпус. Взял se-214-xt и корпус Bloody BD-CC107F. После этого появилась проблема, что в верхнем аудио разъеме при подключении наушников в левом ухе пипец что-то жужжит, только во время игр. (Сразу скажу что с наушниками все нормально, сам порт 20 раз переподключали и проверяли). В салатовом разъёме в самой материнке этот шум есть, но очень тихий и опять же только во время игр. Хочу дополнить что звук не просто белый шум, а какие-то писки и трещания, кстати от самого системника тоже идёт такой звук). Очень похоже на проблему писка дросселей, но все поголовно говорят, что при этой проблеме только сама карта пищит и тд, никакой звук не должен передаваться в наушники. В интернете я находил несколько постов с такой же проблемой, что именно писки и трещания передаются в наушники, но решения у всех были разные. Я честно уже без сил, не знаю что делать.
×
×
  • Создать...